Mythen und Fakten über WordPress-Security

Aaron D. Campbell, Security-Lead für WordPress, beantwortet in knapp 40 Minuten ein paar oft gehörte Fragen zum Thema WordPress-Security. Ich habe sie hier in Form von FAQs zusammengefasst.

Bringen Updates etwas und soll man auf die .1-Version warten?

Ja, Updates bringen etwas, weil sie die neuesten Sicherheitspatches enthalten. Und nein, man sollte nicht auf die .1-Version warten, denn der Nachteil eines (hoffentlich) kleinen Fehlers in der .0-Version steht in keiner Relation zur offenen Sicherheitslücke aus der Vorgängerversion.

Wen interessiert schon meine Seite, warum sollte man mich attackieren?

Das Bild „meine Site wird von einem Menschen“ gehackt ist veraltet. Mehr als 99% der Attacken werden vollautomatisch von Skripten durchgeführt. Und die machen keinen Unterschied zwischen einem großen Onlineshop oder einem kaum besuchten Blog.

Bringt es etwas, die Schreibrechte von Dateien zu verändern?

Nein, es bringt nichts, denn diese Security-Maßnahme greift zu spät. Wenn ein Angreifer bereits in der Lage sein könnte, Dateien zu beschreiben, dann ist es schon zu spät. Außerdem verhindern entzogene Schreibrechte die automatischen WordPress-Updates, was wiederum – siehe oberste Frage – ein noch größeres Risiko ist.

Bringt es etwas, einen anderen Usernamen als „Admin“ zu nutzen? (Abstrakter: Bringt es etwas, den Usernamen zu verstecken?)

Nein, das bringt gar nichts. Ein Username hat mit Security nichts zu tun, er ist Identifikationsmerkmal. Wir alle melden uns bei Gmail mit unserem Usernamen – der Mailadresse – ein. Und hier hinterfragt auch niemand, ob es etwas bringen würde, wenn wir den Usernamen geheim halten.

Bringt das Ändern des Datenbank Präfixes („wp_“) auf eine selbst gewählte Variante (zB „idkwid_wp_“) etwas?

Nein, das bringt überhaupt nichts und dient eigentlich nur der Möglichkeit, mehrere WordPress-Installationen über eine Datenbank laufen zu lassen. Ein Attacker-Skript bedient sich der WordPress-Funktion, die den exakten Wortlaut des Präfixes ausgibt. Insofern bringt das nichts.

Bringt es etwas, den Admin-Zugang von wp-admin auf einen anderen Pfad zu verschieben?

Nein, das bringt absolut nichts. Ganz im Gegenteil! Das Verschieben des Pfads führt nicht selten zu Problemen mit Plugins und Modulen.

Bringt SSL etwas?

Ja. Wer’s nicht versteht, geht jetzt weg.

Bringt ein Passwort etwas?

Ja, dabei ist aber ganz wichtig, dass als Passwort alles gilt, was lang – und hier reden wir von mindestens 20 Zeichen – ist. Alles darunter sollte man nicht mehr als sicher erachten. Ein Passwortmanager ist immer eine gute Empfehlung!

Bringt es etwas, die wp-config.php eine Verzeichnisebene höher zu verschieben?

Nein, das bringt auch nichts, denn wenn der Server so konfiguriert ist, dass er PHP-Dateien als Reintext offen überträgt, liegt das Problem ganz woanders. Die Maßnahme (wp-config.php in eine höheres Verzeichnis verschieben) würde aber unter dieser Annahme erfolgen.

Man kann über WordPress-Security motzen, aber hier geht es in Wirklichkeit um ganz grundlegende Best-Practice-Modelle, die wohl bei jedem CMS zur Geltung kommen. Denn wohlgemerkt: Die meisten Probleme verursacht nicht WordPress selbst, sondern veraltete Themes und Plugins.